Les entreprises ne considèrent pas que les cyber-risque sont aussi sérieux que les autres risques. Les CISO sont ignorés, voire rabaissés.

« La moitié des responsables de la sécurité informatique belges déclarent que les cybermenaces constituent un risque très sérieux pour les entreprises. Pourtant, les directions refusent de les écouter. Ils sont ignorés, rabaissés. Les directions leur rétorquent qu’ils exagèrent, assure Pieter Molen, Technical Director, Trend Micro Benelux. Et s’ils ne parviennent pas à mieux collaborer avec les directions, c’est la cyber-résilience de leur entreprise qui en pâtit ! » 

Pour 43 % des CISO en Belgique, la principale raison qui pousse à minimiser la gravité d’un cyber-risque est la crainte de faire des recommandations erronées. Parmi ceux qui ressentent également une pression de la part de leur direction, 41 % indiquent qu’ils sont perçus comme trop pessimistes. 33 % sont accusés de se répéter ou de se plaindre. Et 4 experts sur 10 affirment que leurs inquiétudes ont été purement et simplement rejetées. Cette situation indique un grand manque de crédibilité.

Mesurer, quantifier

Un état de fait, oui. Sauf si les entreprises peuvent mesurer la valeur commerciale de leur stratégie de cybersécurité. Alors, mais alors seulement, elles y sont plus attentives, indique Pieter Molen.

Les CISO se voient alors confier plus de responsabilités (39 %). Leur travail est davantage valorisé (40 %). Ils ont accès à un budget plus important (39 %). Et ils sont plus susceptibles d’être impliqués dans la prise de décision (39 %).

Toutefois, déplore encore Pieter Molen, « la communication entre le département IT et la direction des entreprises laisse encore à désirer. » Seule la moitié (50 %) des personnes interrogées estiment que leur direction comprend parfaitement les cyber-risques auxquels l’organisation est confrontée – un chiffre qui n’a guère changé depuis 2021. Plus d’un tiers (36 %) des personnes interrogées déclarent que la cybersécurité est toujours considérée comme une simple question IT et non comme un risque pour l’entreprise.

Gare aux environnements hétérogènes

En outre, 39 % des entreprises pensent que seules une violation grave et la couverture médiatique de cette violation (38 %) inciteraient le management à prendre des mesures plus fortes pour lutter contre les cyber-risques. « L’environnement hétérogène de la cybersécurité peut exacerber ces défis, estime Pieter Molen. La coexistence de plusieurs solutions ponctuelles sur la surface d’attaque crée des points de données incohérents. Il devient donc difficile d’expliquer clairement les cyber-risques à la direction. »

Plus de la moitié des personnes interrogées (53 %) estiment qu’elles doivent acquérir plus de compétences communicationnelles. Une plateforme unifiée comme l’ASRM (Attack Surface Risk Management ) pourrait réduire les investissements nécessaires en fournissant un tableau de bord rassemblant les informations cohérentes et convaincantes, défend Trend Micro.